每当我在 Outlook M365 桌面应用程序中通过右键单击电子邮件并选择“阻止发件人”将其移至垃圾邮件来阻止发件人时,AD/Entra Connect 中就会出现错误,指示“访问权限不足,无法执行该操作” 。
我通过访问 AD 用户和计算机、右键单击我的帐户并导航至:
Properties>Security选项卡 > Advanced> Restore Defaults> Apply>来解决此OK问题,然后 AD/Entra Connect 同步即可正常工作。
该问题与属性有关msExchBlackedSenderHash。该问题似乎影响具有域管理员或帐户操作员访问权限的 AD 用户帐户。但是,该解决方案在所有帐户中保持一致,需要应用前面提到的修复程序。
一些技术细节
- 使用 Microsoft Azure AD Connect 版本 2.2.1.0 的本地 AD
- Windows Server 2016 的林和域功能级别
- 4 个域控制器,其中没有一个在两个站点/子网中是只读的
- 混合 Entra ID/Azure AD 环境,所有邮箱均位于 M365/Exchange Online 上。虽然我们正在停用 Exchange 2010,但仍有工作要做。外部电子邮件(入站到我们的域)当前直接路由到 M365。
问题
Azure AD Connect、M365 或本地 Active Directory 中是否有配置可以防止在 Outlook M365 中阻止发件人时出现“访问权限不足”错误,特别是对于具有提升权限的帐户(例如域管理员或帐户操作员)?
对于此问题的根本原因是否有技术解释,并且是否清楚地说明了它为何会出现问题?
这是因为您的用户帐户是受保护组的成员。因此,您的用户帐户将禁用权限继承,并且 AdminSDHolder 安全描述符 ACL 将应用于您的用户帐户,并且将 adminCount 属性设置为 1。因此,Entra ID Connect 没有所需的权限您的用户帐户。这不是配置问题,也不是 Entra ID Connect 的问题,您无法在 Entra ID Connect 中执行任何操作来解决此问题。
修复方法是从所有受保护的组中删除您的用户帐户,清除 adminCount 属性,然后重新启用您的用户帐户的权限继承。
最佳实践要求您拥有一个单独的用户帐户来执行管理任务,并且不要将您的“日常”用户帐户包含在任何受保护的组或角色中。